Il suo nome è GDPR 2018, che è l'acronimo di “General Data Protection Regulation” e dal 25 maggio 2018 è il nuovo Codice della privacy. Un codice della privacy in materia di diffusione dei dati personali aggiornato che sostituirà il codice del 1995 e il successivo codice in materia di protezione dei dati personali del 2003.

   L'oggetto del GDPR è che venga garantito che i trattamenti dei dati personali rispettino i diritti e le libertà fondamentali e la dignità dell'interessato (riservatezza, identità personale, diritto alla protezione dei dati).

​

Misure di sicurezza adeguate

     Una differenza significante contenuta nel nuovo regolamento riguarda le misure di sicurezza. Mentre il "vecchio" Codice sulla Protezione dei Dati Personali indicava le misure minime di sicurezza, il GDPR prevede le misure di sicurezza adeguate. Da qui il principio di “Privacy by Design e by Default” (protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) il quale prevede che il Titolare del trattamento debba mettere in atto (nonché riesaminare ed aggiornare) adeguate misure tecniche ed organizzative, per garantire ed essere in grado di dimostrare che le operazioni di trattamento vengano effettuate in conformità alla nuova disciplina.

​

Principio di responsabilizzazione

      Secondo il Principio dell’ Accountability (o principio di responsabilizzazione), i titolari del trattamento dovranno sempre assicurare il rispetto dei principi applicabili al trattamento dei dati personali. “Una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche”. Per questo motivo “non appena viene a conoscenza di un’avvenuta violazione dei dati personali, il titolare del trattamento deve notificare la violazione dei dati personali all’ autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”.

​

Registro delle attività di trattamento

      Una delle novità e, al tempo stesso, uno degli adempimenti più importanti concernenti le attività di trattamento, è il registro delle attività di trattamento dei dati personali.

    L’obbligo di redazione e adozione del registro non è generale: infatti il par. 5 dell’art. 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’ articolo 9, paragrafo 1*, o i dati personali relativi a condanne penali e a reati di cui all’ articolo 10.”

* Dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’ orientamento sessuale della persona.

​

Data Protection Officer

      L’articolo 37 del testo, specifica la designazione del DPO – Data Protection Officer, o in italiano: il Responsabile della protezione dei dati. In ciascun settore, dunque, il titolare del trattamento e il responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati quando “il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala” e quando “le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali”.

 

Diritto all’ oblio

      Infine, un altro aspetto molto importante introdotto dal Regolamento è il “diritto all’ oblio”, regolamentato dall’ articolo 17: “L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’ offerta di servizi della società dell’informazione”.

​

Sanzioni

    La violazione di tali disposizioni è soggetta a considerevoli sanzioni amministrative pecuniarie che arrivano a colpire Titolari e Responsabili fino a € 20.000.000 oppure fino al 4% del fatturato mondiale totale annuo (articolo 83).